Suspensão de uso da PodSecurityPolicy

O PodSecurityPolicy (Beta) foi descontinuado na versão 1.21 do Kubernetes e removido na versão 1.25. Para saber mais, consulte a postagem do blog sobre a descontinuação do PodSecurityPolicy (link em inglês). Para clusters do Google Kubernetes Engine (GKE) que executam a versão 1.25 ou posterior, não é mais possível usar o PodSecurityPolicy e é necessário desativar o recurso antes de fazer upgrade para as versões 1.25 ou posteriores. Veja instruções em Migrar do PodSecurityPolicy.

Importante: depois de 8 de janeiro de 2024, quando 1.24 chega ao fim da vida útil, o GKE começa a fazer upgrade automático dos clusters que ainda usam a versão 1.24 e APIs descontinuadas (removidas na versão 1.25) para a versão 1.25. Estendemos essa data, de 31 de outubro de 2023, para minimizar as interrupções no período das festas de fim de ano e vamos fornecer patches apenas para vulnerabilidades críticas durante esse período estendido. Para saber mais sobre o ciclo de vida da versão secundária do GKE, consulte Controle de versões e suporte do GKE. O GKE continuará pausando os upgrades automáticos até 8 de janeiro de 2024 para clusters que ainda usam APIs descontinuadas removidas na versão 1.25, incluindo as APIs Beta. e PodSecurityPolicy. Recomendamos que você faça upgrade dos clusters para a versão 1.25 o mais rápido possível, já que as versões secundárias do GKE que atingiram o fim da vida útil não receberão mais patches de segurança e correções de bugs.

Alternativas à PodSecurityPolicy

Se você quiser continuar usando os controles de segurança no nível do pod no GKE, recomendamos uma das seguintes soluções:

Use o controlador de admissão PodSecurity (Visualização): é possível usar o controlador de admissão PodSecurity para aplicar os padrões de segurança dos pods aos pods em execução nos clusters do GKE Standard e do Autopilot. Os padrões de segurança de pods são políticas de segurança predefinidas que atendem às necessidades de alto nível de segurança do pod no Kubernetes. Essas políticas são cumulativas e variam de altamente permissivas a altamente restritivas.

Para migrar a configuração do PodSecurityPolicy para PodSecurity, consulte Migrar do PodSecurityPolicy.
Use o Controlador de Políticas com o pacote de políticas de segurança de pod: o Controlador de Políticas permite aplicar e impor políticas de segurança nos clusters do GKE. Os pacotes do Controlador de Políticas, como o pacote de políticas de segurança do pod, permitem aplicar as mesmas validações do PodSecurityPolicy, com recursos como simulação e granularidade detalhada. controle sobre a cobertura de recursos.

Para mais informações, consulte Usar o pacote de políticas de segurança de pods do controlador de políticas.
Use o Gatekeeper: os clusters do GKE Standard permitem que você aplique políticas de segurança usando o Gatekeeper. Use o Gatekeeper para aplicar os mesmos recursos que a PodSecurityPolicy, bem como aproveitar outras funcionalidades, como a simulação, lançamentos graduais e auditoria.

Para mais informações, consulte Aplicar políticas de segurança personalizadas no nível do pod usando o Gatekeeper.
Use os clusters do Autopilot do GKE: por padrão, os clusters do Autopilot do GKE implementam muitas das políticas de segurança recomendadas.

Para mais informações, consulte a Visão geral do Autopilot.

Ver recomendações e insights sobre suspensão de uso

É possível verificar quais clusters usam esse recurso obsoleto usando os insights de suspensão de uso. Os insights de suspensão de uso desse recurso são compatíveis com clusters que executam qualquer versão do GKE.